在网安实验室暑期实习中,兴趣使然,对网络安全方面进行了学习,在此记录下网络渗透中的一般步骤和常用工具,希望能够对后来人有一点点帮助。
网络渗透过程
网络渗透主要分为三个阶段,准备阶段、实施阶段和善后阶段,这三个阶段都不可少,都是必备的部分,故不可忽视任何一个部分。
渗透环境:Kali Linux(十星推荐使用,自带非常多的hack工具,同时inux环境下很多相关shell用的很舒服)
准备阶段
准备阶段是整个网络渗透能否成功的前提。在这个过程中,要尽可能的搜集关于网站站点的信息,在另外一篇博客《座位管理渗透》中有详细的过程,这里不赘述,只是提一下需要搜集的工具和信息。
相关信息搜集
- 网站域名的相关信息(包括注册人,地点,注册时间等有价值的信息)
- 网站服务器的相关信息(地理位置,注册人,注册时间,电话等)
- 搜集系统信息包括 OS 版本、Linux内核版本
- 采用服务器软件的版本和信息(Apache、Nginx、Tomcat等)
- 服务器开放的端口 (80,443,3306,3389等)
- 网站是否采用防火墙WA的检测
- 网站是否使用了什么前后端框架(MVC或MVVM,或者具体的信息,Django、laravel、Vue、jQuery、flask等,)track:检测前后端的debug模式是